16 avril 2019

Biométrie au travail : la CNIL adopte un règlement type

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail » « La biométrie s’entend d’un procédé de vérification de l’identité et d’authentification d’un individu utilisant des caractéristiques physiques inhérentes à sa personne » Ce règlement fixe les règles applicables à toute utilisation de […]

CNILdataDPIAprotection des données personnelles
Logo

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié le 28 mars dernier son règlement type « biométrie sur les lieux de travail »

« La biométrie s’entend d’un procédé de vérification de l’identité et d’authentification d’un individu utilisant des caractéristiques physiques inhérentes à sa personne »

Ce règlement fixe les règles applicables à toute utilisation de données biométriques imposée par un employeur du secteur public ou privé à son personnel pour le contrôle des accès aux locaux, aux applications et aux outils de travail.

Un cadre juridiquement contraignant

Avec la réécriture de la loi Informatique et Libertés, le législateur français a donné à la CNIL de nouveaux pouvoirs de régulation.

La Commission peut ainsi établir, en concertation avec les organismes publics et privés représentatifs des acteurs concernés, des règlements types afin d’encadrer les traitements de données biométriques, génétiques et de santé. A ce titre, ce règlement type est juridiquement contraignant pour les organismes. Il est donc important de noter que, contrairement aux référentiels ou recommandations que la CNIL adopte, le respect de ce règlement est obligatoire pour tout organisme qui souhaite mettre en place un dispositif biométrique pour le contrôle des accès sur les lieux de travail.

Les points importants à retenir

Le type de données biométriques concernées :

Le règlement type rappelle que l’authentification biométrique basée sur des caractéristiques morphologiques (iris, empreinte digitale, réseau veineux de la main, etc.) est autorisée, au contraire de celle nécessitant un prélèvement biologique (salive, sang, etc.)Par ailleurs, le responsable du traitement doit justifier et documenter le choix du type de biométrie utilisée, et notamment pourquoi il a choisi une caractéristique biométrique plutôt qu’une autre.

La justification du recours à un traitement de données biométriques :

Le responsable du traitement doit démontrer la nécessité de recourir à un dispositif biométrique plutôt qu’à d’autres dispositifs d’identification (badges, mots de passe, etc.) pour atteindre le niveau de sécurité exigé. Pour cela, une documentation doit être tenue par le responsable du traitement, détaillant le contexte du traitement rendant nécessaire un niveau de protection élevé (manipulation de machines ou produits dangereux, à du matériel faisant l’objet d’une règlementation spécifique) et démontrant l’insuffisance d’un autre dispositif moins intrusif.

Le choix des modalités de détention du gabarit :

Différents types de détention de gabarits biométriques sont envisageables, distingués selon le degré de maîtrise des personnes concernées sur le support de conservation. Le règlement type précise qu’en principe, dans le cadre de traitements de données biométriques, les employeurs ne peuvent utiliser que des gabarits de type 1, c’est-à-dire sous maîtrise des personnes concernées (le support de stockage est détenu par la personne elle-même, par exemple un badge. Les gabarits de type 2 (sous maîtrise partagée) et de type 3 (non maîtrisés par les personnes concernées) peuvent être utilisés seulement dans des circonstances particulières. En outre, la décision de recourir aux gabarits de type 2 ou 3 doit être documentée par le responsable du traitement en justifiant le choix effectué.

La sécurité des données :

Le règlement type impose aux organismes de mettre en place au minimum les mesures de sécurité techniques et organisationnelles expressément définies dans le texte, et à défaut des mesures dont ils démontrent qu’elles sont équivalentes.

L’analyse d’impact relative à la protection des données :

Le règlement type rappelle l’obligation d’effectuer une analyse d’impact pour les traitements de données biométriques aux fins d’identifier une personne physique considérée comme « vulnérable » (salariés, mineurs, personnes âgées, patients, etc.), conformément à la liste adoptée par la CNIL sur les types d’opérations de traitement pour lesquelles une analyse d’impact est requise.

Blog

Nos actualités cybersécurité

Cybersécurité

Panorama de la cybermenace 2025 : ce que révèle le rapport de l’ANSSI sur l’état de la menace en France

L’ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025. Comme chaque année, ce rapport constitue la référence pour comprendre l’évolution des menaces qui pèsent sur les organisations françaises. Et cette édition ne rassure pas.

23 mars 2026

Cybersécurité

Cybersécurité du mainframe : pourquoi et comment sécuriser le cœur de vos systèmes d’information

Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.

20 mars 2026

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Index